数据包触发的用户服务上的 IP 多路解用接口
阅读本主题可了解 Junos 中提供的数据包触发子网络功能以及如何对其进行配置。数据包触发的用户功能在从具有预分配 IP 地址的客户端接收数据包时创建 IP 多路分离接口(IP 多路分离 IFL)。
数据包触发的用户服务上的 IP 多路解用接口概述
数据包触发的用户功能在从具有预分配 IP 地址的客户端接收数据包时创建 IP 多路分离接口(IP 多路分离 IFL)。在收到第一个数据包时,控制平面会检查 IP 地址。如果源 IP 地址与其中一个配置的 IP 地址范围匹配,则使用身份验证服务器对订阅服务器进行身份验证。身份验证成功后,将使用 CLI 中指定的动态配置文件创建 IP 多路分离 IFL。IP 多路分离 IFL 使用身份验证服务器传递的掩码为订阅者添加成帧路由和多路分离源。如果验证服务器未发送掩码,则使用 CLI 中指定的掩码安装接入和多路分离路由。
对于住宅 IPv4 用户,来自单个家庭的所有流量通常具有相同的源 IPv4 地址。因此,对于每个家庭,只会创建一个具有单个 IPv4 地址的 IP 多路复用 IFL。对于商业 IPv4 用户,可以使用成帧路由分配多个 IPv4 地址,从而产生一个 IP 多路复用 IFL,代表多个 IPv4 地址。对于 IPv6,来自同一家庭或企业的流量源地址不同,因为每个设备都有单独的 IPv6 地址。在这种情况下,家庭或企业的最佳表示形式包括一个带有 IPv6 前缀的 IP 多路分离 IFL,代表家庭/企业中的所有 IPv6 地址。
在创建 IP 多路分离 IFL 期间,如果身份验证失败,IP 多路分离 IFL 仍会创建,但此类 IP 多路分离 IFL 无法转发任何流量。关联订阅者的任何接收流量都将被丢弃。所有此类被拒绝的 IP 多路分离 IFL 都保持配置状态,称为已配置订阅者。即使身份验证失败,创建 IP 多路分离 IFL 也将避免中断,因为后续数据包将被丢弃在 PFE 上,并且不会被发送到 RE。所有处于“已配置”状态的订阅者都将定期删除。删除这些订阅者后,从同一来源收到的任何新数据包都会被发送到 RE。
数据包触发订阅者支持要求连接设备的 MAC 地址在订阅者会话期间保持不变。如果在用户登录且会话已启动后,数据包触发用户的 MAC 地址发生变化,则用户将无法从具有相同 IP 地址的新设备连接。您可以通过设置一个时间段来监视会话的订阅者活动,从而避免出现这种情况。 client-idle-timeout 在 [edit access profile profile-name session-options ] 层次结构级别使用选项。超时到期时,订阅者将正常注销。然后,订阅者可以从第二台设备成功登录。请参阅 配置订阅者会话超时选项。
IP 多路解用接口对数据包触发用户服务的好处
- 如果家庭或企业中的设备已经通过其他方式(例如静态分配)或通过电缆调制解调器终端系统 (CMTS) 分配了 IPv4/IPv6 地址,则允许用户管理和动态用户接口配置。
-
支持使用 RADIUS 服务器身份验证和服务选择来触发数据包的用户,并且每个底层 IFL 允许最多 16 个 IPv4 和 16 个 IPv6 地址范围。
-
允许身份验证服务器传入要使用的动态配置文件。当身份验证服务器传递这些值时,它们优先于通过 CLI 配置的值。
提供限制机制来减轻类似 DoS 的攻击,并限制发送到 RE 以进行 IP 多路分离身份验证和创建的异常数据包的速率。节流机制使用现有的 DDoS 机制。
请参阅 多路分离接口概述
数据包触发的用户服务上的 IP 多路解用接口概述
数据包触发的用户功能在从具有预分配 IP 地址的客户端接收数据包时创建 IP 多路分离接口(IP 多路分离 IFL)。在收到第一个数据包时,控制平面会检查 IP 地址。如果源 IP 地址与其中一个配置的 IP 地址范围匹配,则使用身份验证服务器对订阅服务器进行身份验证。身份验证成功后,将使用 CLI 中指定的动态配置文件创建 IP 多路分离 IFL。IP 多路分离 IFL 使用身份验证服务器传递的掩码为订阅者添加成帧路由和多路分离源。如果验证服务器未发送掩码,则使用 CLI 中指定的掩码安装接入和多路分离路由。
对于住宅 IPv4 用户,来自单个家庭的所有流量通常具有相同的源 IPv4 地址。因此,对于每个家庭,只会创建一个具有单个 IPv4 地址的 IP 多路复用 IFL。对于商业 IPv4 用户,可以使用成帧路由分配多个 IPv4 地址,从而产生一个 IP 多路复用 IFL,代表多个 IPv4 地址。对于 IPv6,来自同一家庭或企业的流量源地址不同,因为每个设备都有单独的 IPv6 地址。在这种情况下,家庭或企业的最佳表示形式包括一个带有 IPv6 前缀的 IP 多路分离 IFL,代表家庭/企业中的所有 IPv6 地址。
在创建 IP 多路分离 IFL 期间,如果身份验证失败,IP 多路分离 IFL 仍会创建,但此类 IP 多路分离 IFL 无法转发任何流量。关联订阅者的任何接收流量都将被丢弃。所有此类被拒绝的 IP 多路分离 IFL 都保持配置状态,称为已配置订阅者。即使身份验证失败,创建 IP 多路分离 IFL 也将避免中断,因为后续数据包将被丢弃在 PFE 上,并且不会被发送到 RE。所有处于“已配置”状态的订阅者都将定期删除。删除这些订阅者后,从同一来源收到的任何新数据包都会被发送到 RE。
数据包触发订阅者支持要求连接设备的 MAC 地址在订阅者会话期间保持不变。如果在用户登录且会话已启动后,数据包触发用户的 MAC 地址发生变化,则用户将无法从具有相同 IP 地址的新设备连接。您可以通过设置一个时间段来监视会话的订阅者活动,从而避免出现这种情况。 client-idle-timeout 在 [edit access profile profile-name session-options ] 层次结构级别使用选项。超时到期时,订阅者将正常注销。然后,订阅者可以从第二台设备成功登录。请参阅 配置订阅者会话超时选项。
IP 多路解用接口对数据包触发用户服务的好处
- 如果家庭或企业中的设备已经通过其他方式(例如静态分配)或通过电缆调制解调器终端系统 (CMTS) 分配了 IPv4/IPv6 地址,则允许用户管理和动态用户接口配置。
-
支持使用 RADIUS 服务器身份验证和服务选择来触发数据包的用户,并且每个底层 IFL 允许最多 16 个 IPv4 和 16 个 IPv6 地址范围。
-
允许身份验证服务器传入要使用的动态配置文件。当身份验证服务器传递这些值时,它们优先于通过 CLI 配置的值。
提供限制机制来减轻类似 DoS 的攻击,并限制发送到 RE 以进行 IP 多路分离身份验证和创建的异常数据包的速率。节流机制使用现有的 DDoS 机制。
请参阅 多路分离接口概述